Qu’est-ce que les journaux de connexion Microsoft Entra ?
Microsoft Entra journalise toutes les connexions dans un client Microsoft Entra, qui inclut vos applications et ressources internes. En tant qu’administrateur informatique, vous devez savoir ce que signifient les valeurs dans un journal de connexion pour pouvoir interpréter correctement les valeurs de journal.
L’examen des erreurs et schémas de connexion fournit des informations précieuses sur la façon dont vos utilisateurs accèdent aux applications et aux services. Les journaux des connexions fournis par Microsoft Entra ID sont un type puissant de journaux d’activité que vous pouvez analyser. Cet article décrit plusieurs aspects clés des journaux de connexion.
Deux autres journaux d’activité sont également disponibles pour vous aider à surveiller l’intégrité de votre client :
- Audit : Informations sur les modifications appliquées à votre client, telles que la gestion des utilisateurs et des groupes ou les mises à jour appliquées aux ressources de votre client.
- Approvisionnement : activités réalisées par un service d’approvisionnement, telles que la création d’un groupe dans ServiceNow ou l’importation d’un utilisateur à partir de Workday.
Licences et rôles requis
Les rôles et licences requis varient en fonction du rapport. Des autorisations distinctes sont requises pour accéder aux données de monitoring et d’intégrité dans Microsoft Graph. Nous vous recommandons d’utiliser un rôle disposant d’un accès avec des privilèges minimums pour vous aligner sur les conseils de Confiance Zéro. Pour obtenir la liste complète des rôles, consultez Rôles privilégiés minimum par tâche.
| Journal / Rapport | Rôles | Licences |
|---|---|---|
| Journaux d’audit | Lecteur de rapports Lecteur de sécurité Administrateur de la sécurité |
Toutes les éditions de Microsoft Entra ID |
| Journaux de connexion | Lecteur de rapports Lecteur de sécurité Administrateur de la sécurité |
Toutes les éditions de Microsoft Entra ID |
| Journaux de mise en service | Lecteur de rapports Lecteur de sécurité Administrateur d’application Administrateur d’application cloud |
Microsoft Entra ID P1 ou P2 |
| Journaux d’audit des attributs de sécurité personnalisés* | Administrateur de journal d’attributs Lecteur de journal d’attributs |
Toutes les éditions de Microsoft Entra ID |
| Intégrité | Lecteur de rapports Lecteur de sécurité Administrateur du support technique |
Microsoft Entra ID P1 ou P2 |
| Microsoft Entra ID Protection** | Administrateur de la sécurité Opérateur de sécurité Lecteur de sécurité Lecteur général |
Microsoft Entra ID Gratuit Microsoft 365 Apps Microsoft Entra ID P1 ou P2 |
| Journaux d’activité Microsoft Graph | Administrateur de la sécurité Autorisations d’accès aux données dans la destination de journal correspondante |
Microsoft Entra ID P1 ou P2 |
| Utilisation et insights | Lecteur de rapports Lecteur de sécurité Administrateur de la sécurité |
Microsoft Entra ID P1 ou P2 |
*L’affichage des attributs de sécurité personnalisés dans les journaux d’audit ou la création de paramètres de diagnostic pour les attributs de sécurité personnalisés nécessite l’un des rôles de journal d’audit. Vous avez également besoin du rôle approprié pour afficher les journaux d’audit standard.
**Le niveau d’accès et les fonctionnalités de Protection des ID Microsoft Entra varient en fonction du rôle et de la licence. Pour plus d’informations, consultez les conditions de licence pour ID Protection.
À quoi peuvent vous servir les journaux de connexions ?
Vous pouvez utiliser les journaux des connexions pour répondre à des questions telles que :
- Combien d’utilisateurs se sont connectés à une application particulière cette semaine ?
- Combien de tentatives de connexion ayant échoué ont eu lieu au cours des dernières 24 heures ?
- Les utilisateurs se connectent-ils à partir de navigateurs ou de systèmes d’exploitation spécifiques ?
- À quelles ressources Azure les identités managées et les principaux de service ont-ils accédé ?
Vous pouvez également décrire l’activité associée à une demande de connexion en identifiant les détails suivants :
- Qui – L'identité (utilisateur) qui effectue l'ouverture de session.
- Comment – Le client (application) utilisé pour la connexion.
- Quoi – La cible (ressource) à laquelle l'identité a accès.
Comment accéder aux journaux de connexions ?
Il existe plusieurs façons d’accéder aux journaux, en fonction de vos besoins. Pour plus d’informations, consultez Comment accéder aux journaux d’activité.
Pour afficher les journaux de connexion depuis le centre d’administration Microsoft Entra :
- Connectez-vous au centre d’administration Microsoft Entra en tant queLecteur de rapports.
- Accédez à Identité>Surveillance et intégrité>Journaux d’activité de connexion.
Pour utiliser plus efficacement les journaux de connexion dans le Centre d’administration Microsoft Entra, ajustez les filtres pour afficher uniquement un ensemble spécifique de journaux. Pour plus d'informations, consultez Filtrer les journaux de connexion.
Quels sont les types de journaux de connexion ?
Il existe quatre types de journaux d’activité dans la préversion des journaux de connexion :
- Connexions utilisateur interactives
- Connexions utilisateur non interactives
- Connexions de principal de service
- Connexions d’identités managées
Les journaux de connexion classiques incluent uniquement des connexions utilisateur interactives.
Remarque
Les entrées des journaux de connexion sont générées par le système et ne peuvent être ni changées, ni supprimées.
Données de connexion utilisées par d’autres services
Les données de connexion sont utilisées par plusieurs services dans Azure pour surveiller les connexions risquées, fournir des informations sur l’utilisation des applications et plus encore.
Protection de Microsoft Entra ID
La visualisation des données de journal de connexions liées aux connexions risquées est disponible dans la vue d’ensemble de la Protection Microsoft Entra ID, qui utilise les données suivantes :
- Utilisateurs à risque
- Connexions des utilisateurs à risque
- Identités de charge de travail à risque
Pour plus d’informations sur les outils de Protection Microsoft Entra ID, consultez la vue d’ensemble de la Protection Microsoft Entra ID.
Utilisation et insights Microsoft Entra
Pour afficher les données de connexion spécifiques à l’application, accédez à Microsoft Entra ID>Surveillance et intégrité>Utilisation et insights. Ces rapports permettent d’examiner de plus près les connexions de l’activité des applications Microsoft Entra et de l’activité des applications AD FS. Pour plus d'informations, consultez Utilisation et insights Microsoft Entra.
Plusieurs rapports sont disponibles dans Utilisation & insights. Certains de ces rapports sont en préversion.
- Activité des applications Microsoft Entra (préversion)
- Activité des applications AD FS
- Activité des méthodes d’authentification
- Activité de connexion du principal de service
- Activité des informations d’identification de l’application
Journaux d’activité Microsoft 365
Vous pouvez consulter les journaux d’activité Microsoft 365 dans le centre d’administration Microsoft 365. Les journaux d’activité Microsoft 365 et Microsoft Entra partagent un nombre important de ressources de répertoires. Seul le centre d’administration Microsoft 365 fournit une vue complète des journaux d’activité de Microsoft 365.
Vous pouvez accéder de manière programmatique aux journaux d’activité Microsoft 365 en utilisant les API de gestion Microsoft 365.